Memoryze

Détectez les activités malveillantes dans la mémoire à chaud

L'outil Mandiant Memoryze™ est un logiciel gratuit d'analyse forensique de la mémoire qui aide les équipes d'intervention sur incidents à déceler toute activité malveillante dans la mémoire à chaud. Memoryze est capable de capturer et/ou d'analyser des images mémoire, y compris le fichier de pagination pour les systèmes actifs.

Fonctionnalités de Memoryze :

  • Capture de l'image de la mémoire système dans sa totalité (pas de dépendance vis-à-vis des appels d'API)
  • Capture de l'image de tout l'espace d'adressage sur disque d'un processus (y compris les DLL, EXE, tas et piles chargés du processus)
  • Capture de l'image des pilotes (ou d'un pilote spécifique) chargés de la mémoire au disque
  • Énumération de tous les processus en cours d'exécution (y compris ceux dissimulés par des rootkits) :
    • Signalement de tous les descripteurs ouverts (notamment les fichiers, clés de registre, etc.)
    • Énumération du contenu de l'espace d'adressage virtuel (y compris toutes les DLL chargées et toutes les portions allouées au niveau du tas et de la pile d'exécution)
    • Énumération de tous les sockets réseau ouverts par le processus (y compris ceux dissimulés par des rootkits)
    • Identification des fonctions importées et exportées par les DLL et EXE
    • Hachage des EXE et DLL dans l'espace d'adressage du processus (MD5, SHA1 et SHA256 –  opération sur disque)
    • Vérification des signatures numériques des EXE et DLL (opération sur disque)
    • Écriture de toutes les chaînes en mémoire par processus
  • Identification de tous les pilotes chargés en mémoire, y compris ceux dissimulés par des rootkits, avec pour chaque pilote :
    • Identification des fonctions importées et exportées
    • Hachage du pilote (MD5, SHA1 et SHA256 – opération sur disque)
    • Vérification de la signature numérique (opération sur disque)
    • Écriture de toutes les chaînes en mémoire par pilote
  • Signalement de la superposition de pilotes et périphériques, susceptible de permettre l'interception de paquets réseau, de saisies clavier et d'activités de fichiers
  • Identification de tous les modules kernel chargés en parcourant une liste liée Identification des crochets, ou hooks (souvent utilisés par des rootkits), dans la table des appels système, les tables de descripteurs d'interruption (IDT) et les tables de fonctions des pilotes (IRP)

Fonctionnalités de Memoryze for the Mac :

  • Capture de l'image de la mémoire système dans sa totalité
  • Acquisition des zones mémoire de processus individuels
  • Énumération de tous les processus en cours d'exécution (y compris ceux dissimulés par des rootkits)
  • Opérations effectuées pour chaque processus :
    • Signalement de tous les descripteurs ouverts (notamment les fichiers, clés de registre, etc.)
    • Énumération de l'espace d'adressage virtuel du processus, avec notamment :
      • Bibliothèques chargées
      • Portions allouées au niveau du tas et de la pile d'exécution
      • Connexions réseau
      • Toutes les extensions de noyau chargées (y compris celles dissimulées par des rootkits)
      • Table des appels système et table des interceptions (traps) Mach
      • Toutes les tâches Mach en cours
      • Prise en charge de la fonction ASLR

Mandiant Memoryze peut effectuer ces opérations sur la mémoire système à chaud ou sur des fichiers image de la mémoire, que ces derniers aient été obtenus par lui ou par d'autres outils d'acquisition de mémoire.

Télécharger Memoryze

Téléchargements complémentaires

Memoryze

Notes de version de Memoryze

Version actuelle : Memoryze 3.0
Date de sortie : 23 juillet 2013

  • Nouveautés de Memoryze 3.0 :
    • Rapports d'analyse forensique sur les 12 états TCP
    • Importation des résultats de Memoryze 3.0 dans Redline pour visualisation
    • Prise en charge d'IPv6
    • Diverses corrections de bogues
  • Prise en charge des systèmes d'exploitation suivants : Windows 8 x86 et x64, Windows Server 2012 x64
  • Taille du fichier : 8,21 Mo
  • Hachages d'intégrité :
    • MD5 : 94973F0FE06E94F32A727B7860A35096
    • SHA-1 : 4F719A43C7464E1794398DDE9EB1DD43AF6193D7

Memoryze prend officiellement en charge les systèmes d'exploitation suivants :

  • Windows 2000 Service Pack 4 (32 bits)
  • Windows XP Service Pack 2 et Service Pack 3 (32 bits)
  • Windows Vista Service Pack 1 et Service Pack 2 (32 bits)
  • Windows Vista Service Pack 2 (64 bits)*
  • Windows 2003 Service Pack 2 (32 et 64 bits)
  • Windows 7 Service Pack 0 (32 et 64 bits)
  • Windows 2008 Service Pack 1 et Service Pack 2 (32 bits)*
  • Windows 2008 R2 Service Pack 0 (64 bits)
  • Windows 8 Service Pack 0 (32 et 64 bits)*
  • Windows Server 2012 Service Pack 0 (64 bits)*

*Prise en charge d'un nouveau système d'exploitation sans expérience sur des millions d'hôtes. Pour visualiser les résultats de Memoryze, vous devez télécharger Redline ou utiliser un lecteur XML. Proposé gratuitement par FireEye, Redline est un outil de pointe qui permet d'analyser la mémoire et les fichiers d'un hôte pour identifier tout signe d'activité malveillante et établir le profil d'évaluation des menaces.

Notes de version de Memoryze for the Mac

Version actuelle : Memoryze for the Mac 1.1
Date de sortie : 5 novembre 2012

  • Systèmes d'exploitation pris en charge : Mac OS X Snow Leopard (10.6) 32 et 64 bits, Mac OS X Lion (10.7) 32 et 64 bits, Mac OS X Mountain Lion (10.8) 64 bits
  • Taille du fichier :  251 Ko
  • Hachages d'intégrité :
    • MD5 (MacMemoryze.dmg) : C3463BBBDB597A1F29169F1331D690F6
    • SHA-1 (MacMemoryze.dmg) : 9C84D86FE4B10FAE482CB794719205134F02A802